Múltiples vulnerabilidades en la librería GnuTLS

Fecha de publicación:

28/03/2019

Importancia:

4 - Alta

Recursos afectados:

Librería GnuTLS versiones desde la 3.5.8 y anteriores a la 3.6.7.

Descripción:

Se han detectado dos vulnerabilidades de criticidad alta, una de ellas encontrada por el investigador Tavis Ormandy de Google Project Zero. Un atacante podría generar un cierre inesperado del servidor o comprometer los certificados.

Solución:

Actualizar GnuTLS a la versión 3.6.7 o posteriores.

Detalle:

Un atacante que envíe un mensaje TLS1.3 asíncrono, mal formado, podría generar un cierre inesperado del servidor a través de un acceso no válido al puntero. Se ha reservado el identificador CVE-2019-3836 para esta vulnerabilidad.
Una corrupción de memoria debida a una doble liberación (double free) en la API de verificación de certificados podría comprometer los mismos. Cualquier aplicación, cliente o servidor, que verifique certificados X.509, está afectada. Se ha asignado el identificador CVE-2019-3829 para esta vulnerabilidad.

Referencias:

GNUTLS-SA-2019-03-27

Etiquetas:

Actualización

SSL/TLS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en la librería GnuTLS

Múltiples vulnerabilidades en router Netgear Orbi

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Múltiples vulnerabilidades en Moodle

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal